Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

3.2 Processus de modélisation 65 // Transitions - Événement transitoire // Transitions - Événement inverse ST = ok| − Evenement_transitoire → ST = transitoire| − ST := transitoire; Evenement_inverse → ST := ok; Dynamique du composant : Une fois les évènements et les ports d’E/S AltaRica identifiés, on s’intéresse à la dynamique du composant : on s’intéresse aux transitions et aux assertions du nœud AltaRica. En ce qui concerne les transitions, il faut s’intéresser 1) aux conditions sous lesquelles les évènements peuvent avoir lieu et 2) au potentiel caractère transitoire des évènements. Le premier point définit les gardes des transitions AltaRica (par exemple, un évènement peut n’être tirable que dans un certain état) et permettront, entre autres choses, de modéliser des pannes en cascade. Le second point identifie si l’évènement est permanent ou transitoire. Dans le cas d’évènements transitoires, on ajoute au modèle un évènement « inverse ». Enfin, pour spécifier les assertions AltaRica, on réalise différentes tables où les valeurs des variables de sortie sont définies en fonctions de celles des variables d’entrée et de l’état interne du nœud AltaRica. Ces tables sont écrites en se fondant sur les effets locaux des défaillances (dont certains sont décrits dans l’AMDE) ainsi que sur sa propre compréhension du système. 3.2.2.4 Obtention d’une spécification de modèle AltaRica Ci-dessous, un bilan des activités menées au long de cette section 3.2.2. Celles-ci nous permettrons d’obtenir une « spécification » du modèle AltaRica à réaliser. 1. Identification des objectifs du modèle, des évènements redoutés à observer sur le système étudié 2. Analyse fonctionnelle du système à étudier (a) Décomposition du système global en sous-systèmes (b) Identification des interfaces entre ces sous-systèmes 3. Pour chacun des sous-systèmes identifiés (a) Déclinaison des évènements redoutés aux différents sous-systèmes (b) Identification des composants ayant un impact sur l’occurrence des évènements redoutés (c) Identification des interfaces entre ces composants 4. Pour chacun des composants identifiés (a) Réalisation d’une analyse fonctionnelle – Identification de ports d’E/S de haut niveau – Identification des comportements fonctionnels (b) Identification des comportements dysfonctionnels (c) Identification de ports d’E/S raffinés (d) Identification des domaines de définition des différentes variables (e) Identification des lois de propagation (de la fonction de transfert du composant) et de la dynamique relative aux comportements fonctionnels et dysfonctionnels du composant On suppose donc ici que ces différentes étapes permettent l’obtention, pour chacun des composants, d’une représentation (pouvant être de graphique, tabulaire...) que l’on nomme « spécification » et qui comprend l’ensemble des informations que doit contenir le nœud AltaRica
66 Chapitre 3. Vers une méthodologie unifiée de modélisation AltaRica de systèmes physiques représentant le composant. Une proposition de forme pour cette spécification est donnée en section 3.8.7. Une fois cette spécification disponible, le comportement du composant est implémenté au sein d’une bibliothèque de nœuds AltaRica. On suppose donc ici que nous possédons une bibliothèque de nœuds AltaRica unitaire. 3.2.3 Modélisation d’un système en AltaRica 3.2.3.1 Instanciation et Connexion Les composants ayant donc été abstraits puis implémentés au sein d’une bibliothèque de nœuds, il est à présent possible de construire le modèle AltaRica des sous-systèmes étudiés puis du système global (l’assemblage des sous-systèmes). Pour cela et comme présenté dans la section 2.4.1, les nœuds de la bibliothèque seront instanciés dans le modèle à réaliser (i.e. on insère dans le modèle autant de nœuds unitaires que nécessaire) puis reliés entre eux conformément à l’architecture du système. Ces opérations seront en pratique réalisées à l’aide d’un outil supportant le langage AltaRica. Par exemple Cecilia TM OCAS (Dassault Aviation), BPA-FT9 (Dassault System) ou encore SIMFIA (Apsys). Cependant et en accord avec la formule bien connue « le tout est plus que la somme de ses parties », un modèle ne saurait bien souvent se réduire à une simple interconnexion de nœuds unitaires. Ainsi, des stratégies de reconfigurations, de mitigations de défaillance... pourront être modélisées grâce au modèle global. D’une manière générale, un comportement touchant deux nœuds A et B devra être modélisé au sein d’un parent commun à A et B. Pour cela, l’utilisation de synchronisation (Cf. section 2.3.4) pourra être pertinente. 3.2.3.2 Observation des évènements redoutés Il nous faut également pouvoir observer les évènements redoutés considérés sur le modèle. Cette observation passe, dans le modèle AltaRica, par la création de nœuds appelés « observateurs ». Ces nœuds sont similaires à des nœuds AltaRica classiques. Cependant, s’ils possèdent des variables d’E/S, ils ne possèdent en général pas d’évènements et donc pas de variables d’état. Typiquement, un tel observateur possèdera N variables d’entrée (N > 0) et une unique variable de sortie booléenne représentant l’occurrence, ou non, d’un évènement redouté. Son unique assertion permettra de modéliser l’occurrence de l’évènement redouté : la variable de sortie sera vraie si les N variables d’entrées prennent une certaine combinaison de valeurs. 3.2.3.3 Bilan Ci-dessous, un bilan des activités à réaliser pour la modélisation d’un système (pouvant être un sous-système ou le système global) en langage AltaRica. On rappelle qu’à ce stade, on suppose disponible les informations récoltées grâce aux sections 3.2.1 et 3.2.2. 1. Construction de la bibliothèque de nœuds. Pour chacun des nœuds : (a) Modélisation des variables d’E/S et des variables d’états (b) Modélisation des évènements (c) Modélisation des transitions et des assertions 2. Construction de l’architecture du modèle (a) Insertion des nœuds dans le modèle
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26: 14 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 75: 64 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 127 and 128:
116 Chapitre 4. Processus pour la v
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?